Я решил поделиться этим, потому что происходящее означает серьёзный сдвиг в киберугрозах — и вам стоит быть в курсе.
Что происходит
Исследование Google Threat Intelligence Group (GTIG) показало, что группы хакеров начали использовать метод ‑– который назвали EtherHiding — размещать части вредоносного кода не на обычных серверах, а внутри смарт‑контрактов публичных блокчейнов (например, Ethereum или BNB Smart Chain).
Метод позволяет вредоносному коду быть практически неотслеживаемым и несанкционированным средствами обычной защиты: контракты не блокируются так легко, цепочка транзакций децентрализована, а обращения к контрактам могут быть “только чтение” (без затрат газа и без видимых следов).
Два ключевых случая
С одной стороны — группа UNC5342, связанная с КНДР. Начиная с февраля 2025 г. они внедрили EtherHiding в кампанию под названием “Contagious Interview”, где под видом найма на работу привлекают разработчиков и через поддельные технические задания заражают машины. В цепочке задействованы загрузчик JADESNOW и бэкдор INVISIBLEFERRET.
С другой — группа UNC5142, финансово мотивированная. С конца 2023‑го они массово компрометировали сайты на WordPress, внедряли JavaScript‑лениверы, которые затем обращались к смарт‑контрактам и доставляли инфостилеры (например, VIDAR, LUMMAC). Зафиксировано порядка 14 000 заражённых страниц.
Почему это важно
Блокчейн‑инфраструктура делает хостинг «вредоносного кода» практически неубиваемым: убрать контракт нельзя так просто, как заблокировать сервер.
Атаки становятся гибче: через обновление контракта можно менять или расширять функционал вреда без установки новых серверов.
Для организаций это значит: территории традиционной защиты (серверы, домены, IP) не покрывают такие случаи. Нужно смотреть на цепочки загрузки, анализировать наличие обращения к смарт‑контрактам, предупреждать социальную инженерию.
Что стоит делать
Усилите контроль над тем, что скачивают ваши пользователи и разработчики: поддельные задания, npm‑пакеты, git‑репозитории могут быть ловушкой.
Мониторьте обращения приложений к публичным блокчейнам: ревизия API‑вызовов к eth_call и др. может быть индикатором подозрительной активности.
Внедряйте политики строгого контроля скриптов и загрузок: особенно на машинах разработчиков или ролей с высоким уровнем доверия.
Учитывайте, что не весь вред идёт через привычные каналы (вирусы, фишинг, обычные серверные C2) — новая инфраструктура требует новых подходов.
Если хотите, могу собрать технические индикаторы компрометации (IoC) по этим группам и показать, на что именно стоит обратить внимание.
Что происходит
Исследование Google Threat Intelligence Group (GTIG) показало, что группы хакеров начали использовать метод ‑– который назвали EtherHiding — размещать части вредоносного кода не на обычных серверах, а внутри смарт‑контрактов публичных блокчейнов (например, Ethereum или BNB Smart Chain).
Метод позволяет вредоносному коду быть практически неотслеживаемым и несанкционированным средствами обычной защиты: контракты не блокируются так легко, цепочка транзакций децентрализована, а обращения к контрактам могут быть “только чтение” (без затрат газа и без видимых следов).
Два ключевых случая
С одной стороны — группа UNC5342, связанная с КНДР. Начиная с февраля 2025 г. они внедрили EtherHiding в кампанию под названием “Contagious Interview”, где под видом найма на работу привлекают разработчиков и через поддельные технические задания заражают машины. В цепочке задействованы загрузчик JADESNOW и бэкдор INVISIBLEFERRET.
С другой — группа UNC5142, финансово мотивированная. С конца 2023‑го они массово компрометировали сайты на WordPress, внедряли JavaScript‑лениверы, которые затем обращались к смарт‑контрактам и доставляли инфостилеры (например, VIDAR, LUMMAC). Зафиксировано порядка 14 000 заражённых страниц.
Почему это важно
Блокчейн‑инфраструктура делает хостинг «вредоносного кода» практически неубиваемым: убрать контракт нельзя так просто, как заблокировать сервер.
Атаки становятся гибче: через обновление контракта можно менять или расширять функционал вреда без установки новых серверов.
Для организаций это значит: территории традиционной защиты (серверы, домены, IP) не покрывают такие случаи. Нужно смотреть на цепочки загрузки, анализировать наличие обращения к смарт‑контрактам, предупреждать социальную инженерию.
Что стоит делать
Усилите контроль над тем, что скачивают ваши пользователи и разработчики: поддельные задания, npm‑пакеты, git‑репозитории могут быть ловушкой.
Мониторьте обращения приложений к публичным блокчейнам: ревизия API‑вызовов к eth_call и др. может быть индикатором подозрительной активности.
Внедряйте политики строгого контроля скриптов и загрузок: особенно на машинах разработчиков или ролей с высоким уровнем доверия.
Учитывайте, что не весь вред идёт через привычные каналы (вирусы, фишинг, обычные серверные C2) — новая инфраструктура требует новых подходов.
Если хотите, могу собрать технические индикаторы компрометации (IoC) по этим группам и показать, на что именно стоит обратить внимание.
🙏5👍2🔥1👏1👌1💯1🏆1
BiTFractaL MatriXOuT Digital immortality. My memory.
Есть две новости плохая и плохая с какой начать?
Первая новость вход в випку 500$ и только одно место
🙏4👌2🕊1🏆1
Тонкий момент когда стоит лангануть после моего тп да бит?)
🎉2🙏2👏1💯1
BiTFractaL MatriXOuT Digital immortality. My memory.
Тонкий момент когда стоит лангануть после моего тп да бит?)
Абсолютно точно Джоки
🤩1🙏1🕊1💯1
BiTFractaL MatriXOuT Digital immortality. My memory.
Тонкий момент когда стоит лангануть после моего тп да бит?)
Да джоки. Даришь одно место в вип за 500$? Да есть пару железных вариантов на иксы
👏3🤔1🤩1🙏1👌1
BiTFractaL MatriXOuT Digital immortality. My memory.
Да джоки. Даришь одно место в вип за 500$? Да есть пару железных вариантов на иксы
Уже бы и сохранили бы и заработали бы))
🔥3🙏1🕊1💯1
BiTFractaL MatriXOuT Digital immortality. My memory.
И бумс. Взял long btc eth)
Это вам не рулетку крутить
👌3❤1
BiTFractaL MatriXOuT Digital immortality. My memory.
И бумс. Взял long btc eth)
Приятного аппетита
😍2
BiTFractaL MatriXOuT Digital immortality. My memory.
Aster short
Четкий шорт с хаев до лоев. Начал переворачивать позу